Avec sa décision du 9 mars 2017, la Cour européenne de justice a fixé des limites au droit à l’oubli en ce qui concerne les données à caractère personnel inscrites au registre du commerce et des sociétés (RCS).
Selon la Cour, il ne saurait être garanti que le liquidateur et toute personne ayant le pouvoir de représenter une société aient le droit d’obtenir, après un certain délai à partir de la dissolution de leur société, l’effacement de leurs données à caractère personnel qui ont été inscrites au registre du commerce et des sociétés ou la non divulgation de ces données auprès du public.
Il appartient à chaque État membre de déterminer si, dans des circonstances exceptionnelles et au cas par cas, les personnes physiques peuvent demander que leurs données à caractère personnel ne soient pas rendues publiques.
1.Faits
M. Manni est l’administrateur unique de Italiana Costruzioni Srl, une société de construction qui a obtenu un contrat pour la construction d’un complexe touristique.
Selon M. Manni, les immeubles de ce complexe n’étaient pas vendus parce qu’il ressort du RCS qu’il avait été le seul administrateur et liquidateur d’une société immobilière qui avait été déclarée insolvable en 1992 et radiée du registre des sociétés le 7 juillet 2005 à la suite d’une procédure de liquidation.
Toujours selon M. Manni, une société spécialisée dans l’évaluation des risques («rating») avait traité les données personnelles de M. Manni publiées dans le registre des sociétés.
La Chambre de commerce de Lecce refusant de retirer les informations du registre des sociétés, M. Ranni a entamé sa procédure en décembre 2007 afin d’obtenir cette information et d’obtenir réparation du préjudice subi du fait de l’atteinte à sa réputation
2.Position de la Cour
2.1.Le droit à l’effacement des informations de la société et des liquidateurs ne peut être garanti
Pour la Cour, il ne saurait être garanti que le liquidateur et toute personne ayant le pouvoir de représenter une société aient le droit d’obtenir, après un certain délai à partir de la dissolution de leur société, l’effacement de leurs données à caractère personnel qui ont été inscrites dans le registre des sociétés ou l’arrêt de la divulgation de ces données auprès du public.
Comme l’a souligné l’avocat général, il est constant que, même après la dissolution d’une société, des droits et des relations juridiques y afférents subsistent. Par exemple, les données peuvent être nécessaires pour apprécier la légalité d’un acte accompli au nom de cette société pendant la période de son activité ou pour que des tiers puissent intenter une action contre les membres des organes dirigeants ou contre les liquidateurs de cette société.
La durée de conservation dépend également des délais de prescription applicables dans chaque État membre. L’information peut donc être nécessaire de nombreuses années après que l’entreprise a cessé d’exister.
Selon la Cour, étant donné qu’il existe de multiples délais de prescription prévus par les diverses législations nationales dans les différents domaines du droit, il semble impossible à l’heure actuelle d’identifier un seul délai à partir de la dissolution d’une société à la fin duquel l’inclusion de ces données dans le registre et leur divulgation ne seraient plus nécessaires.
Pour la Cour, cette position ne constitue pas une ingérence disproportionnée dans les droits fondamentaux des personnes, y compris leur droit au respect de la vie privée et le droit à la protection des données à caractère personnel pour les raisons suivantes:
- La directive 68/151 relative à la communication d’informations par les sociétés dans le registre des sociétés exige la communication d’un nombre limité de données à caractère personnel (identité et fonctions des personnes ayant le pouvoir d’engager la société ou son liquidateur).
- La seule garantie que les sociétés par actions et les sociétés à responsabilité limitée offrent à des tiers est leurs actifs. Il s’agit d’un risque économique accru pour les tiers et il est donc naturel que les personnes physiques qui choisissent de participer au commerce par l’entremise de sociétés divulguent les données relatives à leur identité et à leur fonction au sein de cette société.
Toutefois, la CJCE a laissé place à des dérogations en ajoutant qu’il peut exister des situations particulières où des raisons impérieuses et légitimes liées au cas particulier de la personne concernée justifient exceptionnellement que l’accès aux données à caractère personnel inscrites au registre soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société en question, à des tiers qui peuvent démontrer un intérêt spécifique à les consulter.
Même si des dérogations existe, selon la Cour, le simple fait que M. Manni ne vendrait pas les biens d’un complexe touristique parce que les acheteurs potentiels ont accès à des informations relatives à une liquidation antérieure ne suffit pas à constituer un motif légitime d’objecter à un tel traitement information.
La Cour a également précisé qu’il appartient aux États membres de déterminer si les personnes physiques qui doivent fournir des renseignements personnels dans le registre des sociétés (c’est-à-dire le représentant de la société et le liquidateur) peuvent demander à l’autorité responsable du registre de déterminer, s’il est exceptionnellement justifié, pour des raisons impérieuses et légitimes, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant et inscrites sur ce registre, à des tiers qui peuvent démontrer d’un intérêt particulier à consulter ces données.
3.Commentaires
3.1. Il est surprenant que la CJCE ait estimé impossible de déterminer une durée de conservation des données en raison de la complexité de la situation et des différents textes applicables, alors que la directive et la future réglementation de la protection des données imposent à tous les responsables de traitement de déterminer une durée de conservation des données.
La directive et le GDPR exigent en outre de fournir les informations relatives à la durée de conservation des données aux personnes concernées au moment de la collecte des données.
Cette position est d’autant plus surprenante que la Court semble se résigner à accepter que les données à caractère personnel puissent être conservées sans qu’une durée de conservation ne soit déterminée et qu’au lieu d’être supprimée à la fin d’une durée de conservation, elles ne soient simplement pas rendues publiques.
Même s’il semble qu’il n’était pas possible de déterminer une durée de conservation uniforme applicable à tous les États membres, on aurait pu s’attendre à ce que la Cour fournisse les clés pour déterminer une durée de conservation ou demandent aux États membres de la déterminer.
3.2. Il n’y a pourtant pas de dérogation à la détermination d’une durée de conservation prévue dans la directive ou dans le GDPR lorsqu’il s’agit d’une situation complexe ou d’un registre d’entreprise. Une durée de conservation doit être déterminée même si elle est très longue, à moins que la CJCE n’accepte que parfois le but de la réglementation de la protection des données ne soit pas conforme à une réalité plus complexe et qu’il n’est pas toujours possible de déterminer d’en déterminer une. Beaucoup de professionnels seraient d’accord … mais les données devraient toujours être supprimées à un certain point sauf disposition contraire prévue par la loi (ex: archivage etc)
3.3. Toutefois, dans le cas d’un registre public, contrairement à ce qu’affirme la CJCE, ce n’est pas seulement l’identité d’un liquidateur ou d’un représentant qui est rendu public, mais aussi le fait qu’une personne a échoué commercialement à un moment donné de sa vie. Même si c’est une information très importante pour les tiers faisant des affaires avec cette personne, peut-être cette information n’a pas besoin d’être rendue publique sans limitation dans le temps et devrait également être définitivement supprimée du registre à un moment donné.
Cette question devrait être soulevée au niveau de chaque Etats membres afin de déterminer combien de temps ces informations devraient être mises à la disposition du public et combien de temps elles devraient être conservées en tenant compte de tous les intérêts des parties prenantes. Cela apporterait une certaines sécurité juridique et serait toujours conforme aux règles de protection des données, car une telle dérogation aux principes de protection des données est difficile à comprendre.
